راهنمای ارزیابی پودمانهای رمزنگاشتی
متقاضی:متقاضی آزمون و ارزیابی محصولات مبتنی بر زیرساخت کلید عمومی که میتواند تولیدکننده محصول، مشتری سفارشدهنده، صاحب امتیاز و یا نماینده فروش محصول باشد. محصول:پودمانهای رمزنگاشتی مانند توکنهای هوشمند، کارتهای هوشمند، سیمکارتهای هوشمند، پودمانهای سختافزاری تحت شبکه و پودمانهای رمزنگاشتی نرمافزاری که مطابق با تعاریف استاندارد ملی « الزامات امنیتی پودمان رمزنگاشتی در زیرساخت کلید عمومی » پیادهسازی شده باشند. پیشنیازهااقلامی که باید برای ارزیابی پودمان رمزنگاشتی به آزمایشگاه تحویل داده شود میبایست مطابق با جدول زیر باشد.
فرایند آزمون و ارزیابی، دارای گامهایی است که در ادامه شرح داده خواهد شد. كليه تعاملات بین متقاضی و آزمایشگاه در قالب نمونه فرمهایی است که در « نمونه فرم ها » درج شده است. گام اول (تشکیل پرونده)متقاضی، نامه درخواست ارزیابی پودمان رمزنگاشتی را مطابق با فرم شماره 1 « درخواست تشکیل پرونده » تکمیل و برای مرکز توسعه تجارت الکترونیکی ارسال مینماید. آزمایشگاه نیز پس از بررسی درخواست، طی نامهای مطابق با فرم شماره 2 « تشکیل پرونده » تشکیل پرونده را به متقاضی اعلام میکند.
گام دوم (ممیزی اسناد)متقاضی حداکثر تا تاریخ تعیینشده در نامه تشکیل پرونده، موظف به تهیه مستندات الزامی مطرح در جدول پیش نیاز ها و ارسال آنها به آزمایشگاه خواهد بود. همچنین متقاضی میبایست طی نامهای مطابق با بخش فرم شماره 4 « معرفی نماینده » نماینده تامالاختیار خود را جهت تعامل با آزمایشگاه معرفی نماید. آزمایشگاه نیز کلیه مستندات و فرمهای خوداظهاری را بررسی نموده و در صورت وجود نقص و مغایرت یا عدم کفایت، طی نامهای مطابق با فرم شماره 5 « اعلام نقص در مستندات » ، نقایص موجود را به متقاضی اعلام میکند؛ اما در صورت کامل بودن مستندات، آزمایشگاه طی نامهای مطابق با فرم شماره 6 « نوبت نصب/تحویل » ، نوبت نصب/تحویل محصول (در صورت نیاز به نصب) را به متقاضی اعلام کند. گام سوم (نصب/تحویل)متقاضی موظف است پس از دریافت نوبت، حداکثر تا تاریخ تعیین شده، محصول مورد نظر را به آزمایشگاه تحویل دهد. در صورتی که محصول متشکل از مولفههای متعددی باشد (مانندHSMو یا توکنهای نرمافزاری)، لازم است متقاضی در محل آزمایشگاه حاضر و اقدام به نصب و راهاندازی محصول نموده و محیط کاملاً عملیاتی محصول را به آزمایشگاه تحویل نماید. محصول ارائه شده به آزمایشگاه، میبایست نمونه نهایی عملیاتی و قابل ارائه به بازار باشد. مسئولیت عدم انطباق محصول ارائه شده به آزمایشگاه با مستندات ارسالی بر عهده متقاضی بوده و چنانچه در حین انجام فرآیند آزمون و یا پس از آن هرگونه نقص یا مغایرت آشکار با اطلاعات قیدشده در مستندات تشخیص داده شود، محصول از چرخه آزمون و ارزیابی خارج شده و با در نظر گرفتن فرانشیز زمانی، نوبت نصب/تحویل مجدد را مطابق با فرم شماره 6 « نوبت نصب/تحویل » برای متقاضی ارسال نماید. نکته 1: آزمایشگاه هیچگونه مسئولیتی در قبال خرابی محصولات در حین انجام آزمون و یا پس از آن نپذیرفته و نمونههای محصول مورد ارزیابی، پس از آزمون، در بایگانی نگهداری خواهند شد (به جز موارد استثنا نظیر HSM). نکته 2: ذکر این نکته ضروری است که متقاضی میتواند درصورت عدم تمایل به ادامه آزمون، در هر مرحله، انصراف خود را مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید.
گام چهارم (ارزیابی)در این مرحله آزمایشگاه متناسب با نوع محصول، اطلاعات مندرج در مستندات خوداظهاری و شاخصهای و معیارهای تعیین شده در استاندارد مربوطه، اقدام به تعیین محدوده آزمون نموده و سپس عملیات آزمون و ارزیابی محصول را شروع مینماید. درصورتیکه نیاز به ارزیابی کد منبع محصول باشد، آزمایشگاه، طی نامهای مطابق با فرم شماره 7 « ارزیابی کد منبع » اعلام مینماید. گام پنجم (تایید/رد)نتیجه نهایی ارزیابی هر محصول و سطح امنیتی اتخاذ شده، در صورت تایید از طریق سایت مرکز توسعه تجارت الکترونیکی منتشر میگردد. در صورتیکه متقاضی به دلایل امنیتی، مایل به انتشار نام محصول از طریق پورتال مرکز توسعه تجارت الکترونیکی نیست، بایستی این موضوع را در زمان تشکیل پرونده (در قالب فرم خوداظهاری) به آزمایشگاه اطلاع دهد. ممکن است در طول انجام عملیات آزمون و ارزیابی، اشکالات و خطاهای بحرانی بروز دهد و بهواسطه آن ادامه عملیات امکانپذیر نباشد. در این صورت آزمایشگاه، طی نامهای مطابق با فرم شماره 8 « توقف ارزیابی » ، توقف ارزیابی را به متقاضی اعلام میکند. همچنین گزارشی از خطاهای بحرانی نیز به پیوست همین نامه به متقاضی تحویل میگردد. در این مرحله متقاضی موظف به تعیین وضعیت محصول مورد ارزیابی (تمایل به تکرار ارزیابی/ انصراف) در آزمایشگاه میباشد. بنابراین متقاضی ضمن اخذ مهلت جهت رفع نقایص و خطاهای گزارششده، نامه درخواست تکرار ارزیابی را مطابق با فرم شماره 9 « درخواست تکرار ارزیابی » به آزمایشگاه ارائه مینماید. آزمایشگاه نیز ضمن بررسی این درخواست، مدتزمان موردنیاز جهت رفع اشکالات و خطاهای بحرانی و آمادگی جهت تکرار ارزیابی را بررسی نموده و فرایند ارزیابی از گام دوم (ممیزی اسناد) برای محصول تکرار میشود. در غیر این صورت متقاضی موظف است اعلام انصراف خود را از فرایند آزمون و ارزیابی مطابق با فرم شماره 10 « انصراف از ادامه ارزیابی » اعلام نماید. |
دانلود : CMVP_Security_Policy_Template.docx حجم فایل 60 KB |
دانلود : RCA-Std-CM-P.pdf حجم فایل 1026 KB |